IPS产品对威胁的防护能力，很大程度上依赖于产品的签名库质量和签名的开启状态。当签名开启于告警状态时，则检测到攻击时IPS会产生告警日志；当签名处于阻断状态时，被检测到的攻击则会直接阻断并产生告警；当签名没有开启时，则无法匹配攻击，系统不会产生任何告警，更无法拦截攻击行为，企业网络面临被入侵和信息失窃的风险。

　　目前业界IPS厂商对外宣传的签名数量普遍都在3000以上，但是经过深入分析不难发现，有些厂商的IPS设备，虽然宣传提供3000+的签名库，但默认情况下开启为检测的签名很少，而开启为拦截的签名则更少（默认策略配置中开启为拦截的签名不足20%），这种情况下，其签名库的质量和设备处理性能就让人不得不打上一个大大的问号。

　　众所周知，签名库只有处于开启拦截的状态下，IPS设备才能真正发挥入侵防御的功能，但是另一方面签名的开启率会大幅消耗设备资源，签名开启率越高，对设备的性能要求就越高。而开启率的高低也直接体现签名的质量，往往默认开启率低的设备，要不是担心产生大量的误报从而导致对正常业务的终端，要么是担心大量的签名开启会明显降低产品的检测性能，。

　　如果设备产生漏报或者误报，用户的安全管理人员则会疲于奔命，这样的设备不仅不能对攻击有效防范，而且会对用户的正常业务产生严重的影响。对于在线部署的IPS来说，一旦拦截了攻击性数据包，就有可能对该数据包的会话进行阻断，更严格的策略则是对来自这个可疑IP攻击者的所有数据流进行拦截。如果触发了误报警报的流量恰好是某个客户订单的一部分，其结果可想而知，要么是这个客户的订单会话被关闭，或者是该客户所有的会话访问都会被IPS拦截。

　　只有具备高质量的签名库，确保检测的准确性，才敢于在默认策略配置中将签名置于开启检测和阻断状态。在华为智能网络入侵检测与防御系统（NIP）默认出厂的配置中，总量3500+的签名总数里，有超过85%的签名被激活，可以实时上线即检测；有超过80%的签名默认配置为阻断状态，上线即拦截攻击。华为NIP参加西海岸中国的测试时，签名的开启率高达97.7%，在这样的情况下，检出率达到93.3%，误报率为0，检测性能始终保持稳定。高质量的签名和极高的开启率，实现了高检出率和零误报，极大的保护了用户业务的正常运转。

　　凭借多年的安全积累，华为组建了一只专业的签名开发团队，致力于编写、优化高效的签名。不同于第三方机构的针对攻击报文开发签名，华为的签名开发团队往往都是基于漏洞的通用性来开发签名，这确保了NIP的签名不仅能防御现有针对该漏洞的攻击报文，而且能防御未来新的针对已知漏洞或者类似漏洞的变种攻击。优秀的签名可以保护更加广泛的攻击和漏洞，同时可以控制签名的数量，使得系统性能免受签名数量激增的冲击。如NIP的一条签名：

　　20060 - POP3 Generic User Buffer Overflow该条通用的签名覆盖了如下3个不同的BID漏洞，而第三方机构往往会编写至少3条不同的签名：

　　RevilloC MailServer Remote Buffer Overflow Vulnerability (BID 16997)Hexamail POP3 Server Remote Buffer Overflow Vulnerability (BID 25496)POP3_Proxy_USER_OVERFLOW Vulnerability

　　更能说明NIP签名高质量的是如下三条签名可以覆盖超过400个BIN漏洞：

　　23476 - Fake Codec Request Generic

　　22809 - HTTP Javascript Heap Spray Detection25938 - HTTP Shellcode Detection

　　签名的高质量、零误报以及较高的默认开启率和阻截率，可以将管理员从海量日志分析的工作中解放出来，让IPS产品的管理，使用和维护更加简单、轻松。

　　华为NIP产品签名库高达80%的默认阻断率，有效助力客户业务永续，凭借现网测试中的卓越表现，赢得越来越多用户的赞扬和认可， 2013年连续中标北京邮电大学出口防护项目、中广核安全防护项目等。